En el episodio de hoy voy a contar una de esas películas que pasan a diario en todo el mundo, a todos nuestros amigos, clientes, familiares, empresas cercanas, y qué por vergüenza en muchos casos, no salen a la luz.
Me llama un amigo para hacerle un trabajito de seguridad. Me comenta que ha sufrido un engaño, y que está preocupado por la seguridad de su empresa.
Es muy sencillo, un cliente, un proveedor, una factura de por medio. El proveedor envía un correo con una cuenta de mail "parecida" al cliente diciéndole "he cambiado de banco, mandame el pago de ESTA FACTURA a este otro número de cuenta.
¿Qué hace el cliente? si es un correo "legítimo"... o eso parece, y el proveedor le envía la factura original, la misma que ya tiene el cliente impresa en su mesa... y sabe como se llama la administrativa... MUY fino hay que estar para no caer en esto. Al final, proceso HUMANO para que en futuras ocasiones, si algún proveedor/cliente cambia el número de cuenta, se haga una verificación humana telefónica...
Hasta aquí un timo más de Internet, insisto, de los que pasan TODOS los días y no nos enteramos.
El timo se había efectuado por una dirección de correo de un servicio gratuito denominado mail2world.com . En este servicio podemos cambiar el dominio por uno más "acorde" con actividades delictivas y dirigidas.
Me hago una búsqueda para ver si veo información de ese dominio en concreto, por si encuentro algún caso reportado, un pastebin por ahí perdido en la oscuridad, o cualquier información que me haga avanzar en la investigación. Recuerda, a mi amigo le había llegado una factura real, por lo que o mi amigo (cliente) había sido comprometido o el proveedor.
No tiene más trascendencia la investigación, no puedo seguir contando más cosas, pero la gracia viene por aquí.
Con ese dominio, en la búsqueda por google descubro un servicio abierto, un gestor de newsletter ubicado en EEUU, en el que uno de los correos que aparecía era del domino en cuestión. NO GUARDA RELACIÖN, pero me es curioso encontrar este servicio leg-open in the wild.
No entiendo qué tiene esa web que me permite trabajar con ella, porque en algunos casos me pide Login... pero el caso es que tienen expuesta la información de correos de 118.488
Madre mía !!! eso tiene más éxito que la lista de la rootedcon... No es el caso, simplemente que la empresa que hospeda la newsletter está enviado información que no sabe a quien no debería... Es un sistema remoto de envío de SPAM a la carta.
Una de las cosas que hago es comprobar que realmente son correos legítimos, y no un honeypot que me está dando a mi en vez de yo a el...
Después de ver la pinta del tipo, pienso si realmente se merece estar en esta lista de correo o no :-)
Una de las cosas que más me hace gracia es que tiene un auto-responder, para los nuevos miembros...
Que dice algo así como:
Qué gracioso !!! yo preocupado por el ruso y solo es una tienda online :-) Si buscas la URL en virustotal no indica nada malo, pero aparecen MILES de resultados en google en páginas de TODO TIPO en el que aparece la URL en los comentarios a modo de SPAM masivo.
Simplemente una técnico de BLACK SEO para posicionar el E-commerce? No parece que realice ninguna infección la URL.
De todo esto saco muchas conclusiones, pero las básicas son las de siempre, que cuidado con las instalaciones que hacemos, que sean lo más seguras posibles.
Que al notificar el fallo a los responsables de la web, les importa un pimiento.
Que siempre que hay algún delito, o casi siempre, está un ruso por ahí dando cera xD.
Que el ciberdelito cada vez se hace palpable en nuestra sociedad, y NO estamos preparados para ello.
Espero que os haya entretenido esta artículo.
Gracias por leerme !!
pd: Os recomiendo filtrar en vuestros antispam o conten filtering o firewall de capa 7 o lo que dios quiera que uséis los dominios del tipo @mail2*